Video: Why YouTubers use two phones (iPhone vs Android) (Oktober 2024)
Sikkerhetsforskere har dissekert og analysert de mobile komponentene i kommersiell spionvare som brukes av myndigheter over hele verden som kan brukes til å surreptitious registrere og stjele data fra mobile enheter.
Mobilmodulene for fjernkontrollsystemet, utviklet av det italienske selskapet Hacking Team, lar lovhåndhevelses- og etterretningsbyråer utføre en rekke overvåkningsaksjoner på Android, iOS, Windows Mobile og BlackBerry-enheter, ifølge forskere fra Kaspersky Lab og Citizen Lab ved Munk School of Global Affairs ved University of Toronto. Hacking Team selger RCS, også kjent som Da Vinci og Galileo, til myndigheter for å spionere på stasjonære datamaskiner, bærbare datamaskiner og mobile enheter. I noen land brukes RCS til å spionere mot politiske dissidenter, journalister, menneskerettighetsforkjemperne og motstandere av politiske skikkelser.
Kaspersky Lab- og Citizen Lab-forskere omvendt konstruerte mobilmodulene, og Citizen Labs Morgan Marquis-Boire og Kasperskys Sergey Golovanov presenterte funnene sine på en pressevent i London tirsdag.
"Det var et kjent faktum i ganske lang tid at HackingTeam-produktene inkluderte skadelig programvare for mobiltelefoner. Imidlertid ble disse sjelden sett, " skrev Golovanov på Securelist-bloggen.
Hva RCS kan gjøre
IOS- og Android-komponentene kan logge tastetrykk, skaffe data om søkehistorikk og tillate skjult samling av e-postmeldinger, tekstmeldinger (også de som er sendt fra apper som WhatsApp), samtalehistorikk og adressebøker. De kan ta skjermbilder av offerets skjerm, ta bilder med telefonens kamera eller slå på GPS-en for å overvåke offerets beliggenhet. De kan også slå på mikrofonen for å spille inn telefon- og Skype-anrop samt samtaler som skjer i nærheten av enheten.
"Å hemmelig aktivere mikrofonen og ta vanlige kamerabilder gir konstant overvåking av målet - noe som er mye kraftigere enn tradisjonelle kappe- og dolkoperasjoner, " skrev Golovanov.
De mobile komponentene er spesialbygget for hvert mål, sier forskere. "Når prøven er klar, leverer angriperen den til mobilenheten til offeret. Noen av de kjente infeksjonsvektorene inkluderer spearphishing via sosialteknikk - ofte kombinert med utnyttelser, inkludert null dager; og lokale infeksjoner via USB-kabler mens du synkroniserer mobil enheter, "sa Golovanov.
Den lange overvåkningsarmen
RCS har en global global rekkevidde, med forskere som identifiserer 326 servere i mer enn 40 land. Flertallet av kommandoservere var vertskap i USA, fulgt av Kasakhstan, Ecuador, Storbritannia og Canada. At kommandoservere er i disse landene, betyr ikke nødvendigvis at lovhåndteringsbyråer i disse landene bruker RCS, sa forskerne.
"Det er imidlertid fornuftig for brukerne av RCS å distribuere C & C-er på steder de kontrollerer - der det er minimale risikoer for juridiske problemer over landegrensene eller serverbeslag, " sa Golovanov.
De siste funnene bygger på en tidligere rapport fra mars der forskere fant at minst 20 prosent av RCS-infrastrukturen var lokalisert i et dusin datasentre i USA.
Gjemmer seg i Stealth Mode
Citizen Lab-forskere fant en nyttelast fra Hacking Team i en Android-app som så ut til å være en kopi av Qatif Today, en arabisk nyhetsapp. Denne typen taktikker, der ondsinnet nyttelast injiseres i kopier av legitime apper, er ganske vanlig i Android-verdenen. Nyttelasten prøver å utnytte en sårbarhet i eldre versjoner av Android-operativsystemet for å få root-tilgang på enheten.
"Selv om denne utnyttelsen ikke ville være effektiv mot den nyeste versjonen av Android-operativsystemet, bruker fortsatt en høy prosentandel brukere eldre versjoner som kan være sårbare, " skrev forskere fra Citizen Lab i et blogginnlegg.
Både Android- og iOS-modulene bruker avanserte teknikker for å unngå å tømme telefonens batteri, begrense når den utfører visse oppgaver til spesifikke forhold, og fungerer diskret slik at ofrene forblir uvitende. For eksempel kan mikrofonen være slått på, og et lydopptak blir gjort bare når offeret er koblet til et bestemt WiFi-nettverk, sa Golovanov.
Forskerne fant at iOS-modulen bare påvirker jailbroken-enheter. Imidlertid, hvis iOS-enheten er koblet til en datamaskin som er infisert med skrivebordet eller den bærbare versjonen av programvaren, kan skadelig programvare eksternt kjøre jailbreaking-verktøy som Evasi0n for å laste den ondsinnede modulen. Alt dette ville bli gjort uten offerets viten.
Citizen Lab mottok også en kopi av det som ser ut til å være brukerhåndboken til Hacking Team fra en anonym kilde. Dokumentet forklarer i detalj hvordan man bygger overvåkningsinfrastrukturen for å levere ondsinnet nyttelast til ofrene, hvordan man skal håndtere etterretningsdataene som høstes fra offerenheter, og til og med hvordan man kan få sertifikater for kodesignering.
For eksempel foreslår manualen å bruke Verisign, Thawte og GoDaddy for sertifikatene. Angripere blir instruert om å kjøpe et "utviklersertifikat" direkte fra TrustCenter hvis målet vil bruke en Symbian-enhet, og å registrere seg for en Microsoft-konto og en Windows Phone Dev Center-konto for å infisere Windows Phone.
Forutsetningen bak denne typen overvåkingsprogramvare er at kjøpere først og fremst vil bruke disse verktøyene til rettshåndhevelsesformål, og at kriminelle elementer ikke vil ha tilgang til dem. At disse er tilgjengelige, betyr imidlertid at de kan brukes mot politisk motiverte mål, noe som har noen alvorlige konsekvenser for generell sikkerhet og personvern.
